Categoría: Infraestructuras

Sistema de almacenamiento ceph

Sistemas de almacenamiento de datos en la ULL

    Los datos constituyen en la actualidad un activo muy importante para una entidad, y su correcto almacenamiento es un pilar fundamental para el desarrollo de las actividades de cualquier empresa. Una Universidad debe disponer de infraestructuras que cumplan estrictos criterios de seguridad, disponibilidad y eficiencia a la hora de almacenar y acceder a sus datos.

    Desde el Servicio TIC, a lo largo del tiempo, esta seguridad, disponibilidad y eficiencia se ha logrado usando diferentes soluciones o más bien, una combinación estas.

En líneas generales, las tecnologías que se usan son:

Sistemas tipo SAN

Consisten en grandes equipos, muy potentes, gestionados de forma centralizada y que permiten acceso a los datos a alta velocidad.

Ventajas

      1. Se consigue un alto rendimiento de acceso ya que la conexión suele ser a través de redes de fibra óptica y los discos son de diferentes tecnologías.
      2. Se pueden conseguir grandes capacidades de almacenamiento por la capacidad de ampliación que nos ofrece.

Desventajas

      1. Muchos servicios en una misma infraestructura, por lo que cualquier actuación significa dejar de dar servicios, lo que implica que se llegue a tener gran dependencia en una sóla infraestructura.
      2. Precio muy alto, tanto de adquisición como de mantenimiento y ampliaciones.
      3. Alta dependencia con el fabricante, son soluciones propietarias.
      4. Un cambio de tecnología es un proceso traumático para la organización.

Sistemas tipo NAS

    Consiste en cabinas de disco a los que se accede a través de la red, normalmente sus capacidades son de varios órdenes de magnitud menor que las SAN. Para conseguir  alta disponibilidad, se configuran en parejas redundantes.

Ventajas

      1. Buen rendimiento, aunque menor que las SAN.
      2. Coste menor que las SAN.

Desventajas

      1. Dependencia de fabricante.
      2. Para crecer, normalmente es necesario adquirir más equipos.
      3. Son soluciones poco flexibles

Ceph

    Ceph es un sistema de almacenamiento distribuido destinado a proporcionar un buen rendimiento y una alta fiabilidad y escalabilidad. Está desarrollado en código abierto, por lo que está disponible libremente y se ejecuta sobre hardware básico.

Ventajas

      1. Rendimiento bastante alto
      2. Coste relativamente bajo y que se reduce cada vez más según la capacidad aumenta.
      3. Total independencia de fabricantes
      4. Para crecer, sólo es es necesario añadir más equipos, crecimiento horizontal.
      5. Soluciones altamente flexibles.
      6. Control total sobre la solución.

Desventajas

      1. Para pequeñas capacidades, el coste de implantación es elevado.
      2. Dependiendo de la entidad donde se monta, el que todo sea autogestionado, podría ser una desventaja.

Si le interesa conocer la historia que hay detrás de Ceph puede hacerlo a través del siguiente enlace: https://community.redhat.com/blog/2014/06/ceph-turns-10-a-look-back/

Nuestra solución

    En el Servicio TIC se han utilizado tanto sistemas NAS como SAN, pero debido a los defectos mencionados en este artículo, los sistemas tipo SAN se han dejado de utilizar y actualmente los sistemas de almacenamiento se ofrecen con tecnologías tipo NAS y Ceph. Nos centraremos en nuestra experiencia con ceph, pues para la parte de NAS, ya hay mucha documentación sobre esta tecnología.

    Los principales objetivos que justifican la implantación de un sistema de estas características en el Servicio TIC son:

  1. Proporcionar almacenamiento tanto a máquinas virtuales, como a máquinas físicas alojadas en el Centro de Proceso de Datos (CPD).
  2. Depositar grandes cantidades de datos a un precio asequible para garantizar la sostenibilidad y con alta disponibilidad.
  3. Ampliar la capacidad del sistema según se vaya necesitando y de forma totalmente horizontal.

captura

 

    Ceph de por sí no proporciona la flexibilidad suficiente para cubrir toda la casuística que se nos presentaba. Por ello, además del cluster Ceph, se ha implantado un cluster de tipo pacemaker – también empleando software open source –  a modo de cabecera para proveer servicios mediante los protocolos iSCSI, NFS y SMB.

  • El protocolo iSCSI va destinado a proveer la infraestructura de máquinas virtuales.
  • El protocolo NFS para servidores en general alojados en nuestro centro de datos y con administración propia.
  • El protocolo SMB que proporciona almacenamiento para servidores en status de “housing” en nuestro centro de datos, así como para el servicio de disco duro virtual de la institución (DDV).

    En el caso de los volúmenes exportados mediante RBD, NFS y SMB se nos presentan las siguientes ventajas adicionales respecto a la realización de copias de seguridad:

  1. Pueden programarse en los nodos cabecera y hacerse desde estos sin intervención de la máquina a la que dan servicio.
  2. Pueden hacerse en caliente mediante snapshots, con lo que son consistentes respecto a un determinado punto en el tiempo.
  3. Van destinadas directamente a almacenamiento “frío” (dispositivos LTO-5 en este caso).
  4. Pueden hacerse de forma incremental.

    En conclusión, el sistema de almacenamiento Ceph nos aporta control total sobre el sistema, posibilidad de crecimiento horizontal, e independencia de cualquier fabricante, coste reducido para grandes cantidades de datos y un buen rendimiento, por lo que parece que se va a convertir en el backend de almacenamiento principal de la Universidad para los próximos años.

Administración Remota Servidores SSH a través de VPN

La aparición de múltiples vulnerabilidades relacionadas con el servicio SSH plantea un importante problema de seguridad, incluso en el caso de servidores actualizados y con políticas de seguridad adecuadas. Todo servidor Ssh con IP pública accesible desde Internet es una posible víctima de los constantes ataques, generalmente automatizados, que se realizan a diario.

mapa_ataques
Fuente: http://www.digitalattackmap.com

Una de las medidas de protección más efectivas es impedir un acceso directo al servicio. En este sentido, el Servicio TIC ofrece un servicio de conexión de red privada virtual (VPN: Virtual Private Network) que permite acceder a los recursos TIC de la ULL de forma segura desde Internet.

De este modo y como política general, se evitará el acceso directo desde Internet hacia servidores situados en la ULL a través del protocolo SSH. Para la administración remota de servidores el usuario deberá hacer uso del servicio de red privada virtual con sus credenciales ULL, que  creará un canal de comunicación seguro entre el cliente y la red ULL. A través de dicho canal el usuario podrá establecer una conexión SSH a su servidor.

Adicionalmente, se aconseja seguir unas recomendaciones de seguridad adecuadas. En un servidor con servicio ssh recomendamos:

  1. Desactivar el servicio ssh cuando no sea necesario (Ej: conectar sólo en periodos de cierre, etc.).
  2. Configurar el servicio en otro puerto diferente al 22, por ejemplo del 40022.
  3. Configurar un Firewall que sólo permita la conexión desde ciertas IPs específicas.
  4. Mantener una política de contraseñas correcta: longitud mínima, cambio cada cierto tiempo, etc.
  5. Mantener actualizado el software del servidor
  6. Instalación de algún programa que evite los ataques de fuerza bruta (por ejemplo: fail2ban,  DenyHosts)

Si desea información no dude en ponerse en contacto con el Servicio TIC.

Plataformas de soporte para docencia, investigación y al puesto de trabajo

La Universidad de La Laguna pone a disposición de la comunidad universitaria una serie de servicios considerados críticos, y donde los términos “disponibilidad” y “funcionamiento correcto” siempre están presentes en los primeros puestos de la escala de relevancia. Una parte del cometido del personal del Servicio TIC es asegurar que estos términos se cumplen y que los usuarios de la comunidad universitaria siempre tengan disponibles estos servicios.
Sin embargo, somos conscientes de que al margen de estos servicios tan críticos (página web de la ULL, sede electrónica, portal del empleado…), existen proyectos cuya iniciativa nace en el propio personal de la Universidad y cuyo cometido es la investigación, el soporte a la docencia, e incluso plataformas personales de apoyo para un mejor desempeño de sus tareas laborales. Para llevar a cabo dichos proyectos, nos hemos dado cuenta de que sus impulsores a menudo se ven obligados a adquirir el hardware necesario para ponerlos en práctica, sin ser conocedores de que el Servicio TIC proporciona varias plataformas para que el usuario pueda llevar a cabo estos proyectos, cumpliendo así un punto crítico de su Carta de servicios, que es el soporte TIC para la docencia, investigación y al puesto de trabajo.
Los beneficios de utilizar los recursos que el STIC pone a disposición de la comunidad universitaria son numerosos:
  • Aprovechamiento del material de trabajo: No tener que utilizar recursos destinados a fines laborales para este tipo de iniciativas.
  • Maximizar la disponibilidad: Uno de los objetivos del STIC es dar soporte a los servicios, minimizando las caídas y manteniendo el correcto funcionamiento de sus infraestructuras.
  • Seguridad: Los datos quedarían almacenados en infraestructuras del CPD, lo que añade un plus de seguridad en la custodia de los datos que, por ejemplo, mantener un PC en un despacho no tiene.
  • Flexibilidad: Hay varias formas de dar soporte a este tipo de proyectos, que se enumeran a continuación.
Como también sabemos que la naturaleza de estos proyectos es diversa, los requisitos técnicos varían en mayor o menor medida, dando lugar a diferentes soluciones que se detallan a continuación.

Servicio “Webs”

Descripción: Esta solución es ideal para aquellos usuarios que desean publicar una plataforma web del tipo Joomla, WordPress y similares. Al usuario solicitante se le habilita una URL del tipo <usuario>.webs.ull.es (a la que podrá acceder tanto por http:// como https:// (protocolo seguro)), además de una base de datos MySQL, donde podrá poner en funcionamiento su plataforma Web. La subida de ficheros se puede hacer por Samba o FTP, y para administrar la base de datos, existe una plataforma phpMyAdmin desde la que se podrá hacer cómodamente.

Beneficios: La facilidad de desplegar el servicio: La activación es instantánea y el usuario puede subir sus contenidos al poco tiempo de solicitarlo.

Limitaciones: El mantenimiento de la plataforma es responsabilidad del usuario. Los gestores de contenidos como Joomla, WordPress y similares se actualizan cada poco tiempo dando lugar a nuevas versiones y cubriendo numerosos fallos de seguridad, y no actualizarlos frecuentemente conlleva en que éstos se vuelven importantes agujeros de seguridad que pueden comprometer el servicio, así que es importante estar al tanto de las actualizaciones.

Servicio de Blogs  (en pruebas)

Descripción: Esta solución es ideal para aquellos usuarios que desean publicar en WordPress sin tener que preocuparse del mantenimiento de la infraestructura. Al usuario o grupo solicitante se le habilita una URL del tipo https://wp.ull.es/<usuario>

Beneficios: La facilidad de desplegar el servicio: La activación es instantánea y el usuario puede subir sus contenidos al poco tiempo de solicitarlo.

Limitaciones: Es un servicio en pruebas. El mantenimiento del contenido es responsabilidad del usuario y el mentenimiento de la plataforma es responsabilidad del STIC  por lo que el número de temas y plugins activos serán dispuesto por el servicio TIC.

Plataforma IaaS

Descripción: Si su proyecto no hace un uso exclusivo de la tecnología Web, la plataforma IaaS le permite disponer de una máquina virtual que usted mismo podrá administrar, y donde podrá poner en funcionamiento plataformas/sistemas que no solamente hacen uso de los puertos 80 y 443 (como por ejemplo, bases de datos, …). Tiene una serie de puertos abiertos por defecto, pero en caso necesario, se puede solicitar la apertura de puertos especiales para el correcto funcionamiento de la plataforma.

Beneficios: La versatilidad. Esta plataforma le permite poner en marcha casi cualquier sistema donde la complejidad la marca el propio proyecto a desplegar.

Limitaciones: Son necesarios al menos conocimientos básicos de administración de sistemas, para poder configurar el sistema ya que tanto la instalación como la configuración van a cargo del propio usuario. Por otro lado, al igual que ocurre con el servicio Webs, es plena responsabilidad del usuario mantener el sistema actualizado para evitar posibles agujeros de seguridad por parte de usuarios malintencionados.

Migración de un servicio de PC a un servidor virtual

Descripción: Si usted ya dispone de un servicio puesto en funcionamiento que tiene, por ejemplo, en un PC de su puesto de trabajo y está valorando la posibilidad de que sea el STIC quien garantice la salvaguarda de los datos y la disponibilidad, existe la posibilidad de “migrar” esta máquina a una infraestructura de máquinas virtuales. Esto no supone que el PC esté físicamente en el CPD, sino que se trata de importar el servicio que da este PC y estandarizarlo. Llevar a cabo esta migración, sin embargo, conlleva como requisito que éste tenga un sistema operativo de tipo “servidor” (como por ejemplo: Ubuntu server, CentOS server, Windows Server…), no siendo válidos sistemas operativos de usuario como Windows7, Windows8, etc. En el caso de que el servicio esté funcionando con un sistema operativo de usuario, también es posible la migración “a mano” del servicio. Si tiene dudas con esta opción, consulte con el Servicio TIC.

Beneficios: No tener que dedicar un PC de sobremesa para poner en funcionamiento el servicio. También la disponibilidad y la seguridad de los datos.

Limitaciones: No disponible para sistemas operativos “de usuario”.

Servicio transversal a la ULL con soporte Hosting

Descripción: Es una variante de la plataforma IaaS mencionada arriba, pero donde el Servicio TIC mantendría la seguridad del sistema (pero no de la aplicación a desplegar), haciendo además una instalación del sistema operativo necesario conforme a los estándares del Servicio TIC y el usuario solamente se encargaría de desplegar su proyecto/plataforma y de mantenerlo actualizado.

Beneficios: La instalación/soporte del sistema operativo la lleva el STIC.

Limitaciones: La seguridad de la plataforma desplegada sigue siendo tarea del usuario.

Servicio transversal a la ULL con soporte Housing

Descripción: También es posible que el usuario (en nombre de algún departamento) realice una compra de un servidor físico de altas prestaciones a uno de nuestros proveedores, de acuerdo a los estándares del STIC, y éste sería alojado en el CPD de la Universidad, garantizando los factores ambientales óptimos para estos servidores, la disponibilidad y la seguridad de los datos. En este caso, tanto la instalación del sistema operativo como el mantenimiento del sistema corre a cargo del usuario, ya que el STIC únicamente mantiene “físicamente” el servidor.

Beneficios: Un servidor físico garantiza recursos propios que se destinarán exclusivamente al funcionamiento de lo que haya instalado en él.

Limitaciones: La adquisición de un servidor profesional puede ser costosa.

Redirección en www.ull.es

Descripción: Si usted dispone ya de un proyecto web desplegado en alguna de las anteriores opciones que considera transversal para la Universidad de La Laguna, puede solicitar la creación de una redirección en el dominio ULL es, de modo que habilitaríamos una URL del tipo https://www.ull.es/<proyecto> que llevaría a la web del proyecto. Estas peticiones están siempre sujetas al visto bueno de la Dirección del servicio.

Beneficios: La visibilidad que da tener una URL en el dominio ull.es. Los buscadores como Google, Yahoo! y similares indexarán esta URL y será más fácil encontrar su proyecto desde los buscadores.

Limitaciones: –

Si desea información sobre cualquiera de estas opciones, no dude en ponerse en contacto con el Servicio TIC.

Visitas de estudiantes al STIC

El pasado mes de abril un grupo de estudiantes de Administración de Sistemas y Redes del CEIP César Manrique visitó nuestras instalaciones del Servicio TIC de la Universidad en La Laguna. Estas visitas, organizadas y personalizadas, constan de una charla explicando las funciones y estructura del servicio TIC y a continuación una visita guiada a nuestro CPD.

423803513_63954 (1) Visita de los alumnos del CEIP César Manrique

      La visita al centro de proceso de datos, o CPD, es el punto que más interés genera a nuestros invitados, en ella se le explica que el CPD es el espacio donde se centralizan los recursos necesarios para procesar toda la información de nuestra Universidad, o lo que es lo mismo, el espacio que alberga los equipos que ofrecen los principales servicios telemáticos y donde se salvaguardan los datos necesarios para que nuestra organización funcione, es decir, es lo que nos garantiza que el funcionamiento de todos estos sistemas se realice en un entorno óptimo de operatividad.

 

IMG_1369

Además, en la presentación, se da una breve explicación de como, en el 2010, el STIC promovió un ambicioso proyecto de construcción de un CPD de última generación diseñado y desarrollado por el propio personal del STIC, que cumpliese con las certificaciones de seguridad y disponibilidad adecuadas para este tipo de instalaciones, que culminó a mediados de 2012 y que a día de hoy, es un referente en este tipo de instalaciones en Canarias.

Algunas de las características del CDP principal de la ULL son:

  • Construcción Room-in-a-Room con estructura smart shelter+.
  • Doble alimentación eléctrica, con grupos electrógenos diferentes.
  • Configuración redundante de UPS, con dos líneas de alimentación para cada equipo.
  • Configuración redundante de Aire acondicionado, con impulsión por falso suelo
  • Canalizaciones eléctricas por falso suelo y de datos por techo.
  • Configuración pasillos fríos (cerrados) – pasillo calientes.
  • Control de acceso electrónico.
  • Automatización de procedimientos con sistemas de control y supervisión industrial SCADA.
  • Zona de trabajo exterior para proveedores externos de conectividad.
  • Zona de housing/hosting para albergar equipos y aplicaciones de otros servicios y departamentos de la universidad.

IMG_1370 (1) (1)

 

Desde su construcción diferentes colectivos de la isla nos han solicitado visitarlo y para cubrir esta demanda, desde el STIC, se organizan estas visitas guiadas y personalizadas según el perfil del invitado. Nos han visitado alumnos de titulaciones técnicas de la Universidad, alumnos de Formación Profesional, alumnos de la ESO y profesionales de entidades públicas y privadas. Desde el 2012 recibimos más de 150 estudiantes al año, siendo algunos de estos centros que repiten cada año el colegio Salesianos y el CEIP César Manrique.